用Windows自带工具打造“免检”

社区服务
高级搜索
猴岛论坛电脑百科用Windows自带工具打造“免检”
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
2个回复

[资源分享]用Windows自带工具打造“免检”

楼层直达
梅艳芳芬

ZxID:11613788

等级: 新兵
举报 只看楼主 使用道具 楼主   发表于: 2012-09-25 0
    传播者最惯用的手段就是将*程序和合法程序捆绑在一起,欺骗被攻击者。然而,现在杀毒软件对捆绑类软件已显出“咄咄逼人”的态势,几乎所有的捆绑类软件都会被查杀,大大小小的*纷纷失效。
  IExpress小档案
  出身:Microsot
  功能:专用于制作各种 CAB 压缩与自解压缩包的工具。
  由于是Windows自带的程序,所以制作出来的安装包具有很好的兼容性。它可以帮助*传播者制造不被杀毒软件查杀的自解压包,而且一般情况下还可伪装成某个系统软件的补丁(如IE的hotfix)来迷惑人。
  到哪里寻找永远都不会被查杀的捆绑方法或工具?远在天边,近在眼前。可千万别忘了与你朝夕相处的Windows。此次所要介绍的捆绑工具就是Windows自带的一个小巧的软件IExpress(适用于2000和XP系统)。
  原理
  IExpress使用了多种不同的自解压缩文件技术对软件更新文件进行打包,这些自解压包能够自动运行程序包中包含的EXE程序。IExpress技术是Microsoft使用的一项技术,用于为某些Microsoft Internet Explorer版本、某些Windows版本以及其他多种产品创建软件更新程序包。
  如何确定某个软件更新程序包是否使用了IExpress呢?方法如下:
  1.右键单击该程序包,然后单击“属性”。
  2.在“常规”选项卡中,查看“描述”。使用了IExpress技术的软件更新程序包中会包含“Win32 Cabinet Self-Extractor”字样。
  实际操作
  在这一部分,笔者将以实例的形式为大家详细讲解捆绑*的整个过程。
  第一步
  在“运行”对话框中输入IExpress就可启动程序。
  在开始的时候会有两个选项供你选择,一个是创建新的自解压文件(Create new Self Extraction Directive file),另一个是打开已经保存的自解压模板“.sed”文件(Open existing Self Extraction Directive file)。我们应该选择第一项,然后点击“下一步”按钮。
  第二步
  接下来选择制作*自解压包的三种打包方式(图2),它们分别是建立自解压并自动安装压缩包(Extract files and run an installation command)、建立自解压压缩包(Extract files only)和建立CAB压缩包(Create compressed files only)。
  因为我们要制作的是*解压包,所以应该选择第一项。在输入压缩包标题后点击“下一步”按钮。
  第三步
  在“确认提示”(Confirmation prompt)这一环节,软件会询问在*程序解包前是否提示用户进行确认,由于我们是在制作*程序的解压包,当然越隐蔽越好,选择第一项“不提示”(No prompt),这么做的目的是让中招人毫无防备。点击“下一步”按钮,在接下来的添加“用户允许协议”(License agreement)中添加一个伪装的用户协议迷惑中招者,选择“显示用户允许协议”(Display a license),点击“Browse”选择一份编辑好的TXT文档,此文档可以用微软公司的名义来编辑,设置完毕后点击“下一步”。这一步的目的是迷惑对手并隐藏*安装的过程。
  第四步
  现在,我们就进入了文件列表窗口(Packaged files)。点击该窗口中的“Add”按钮添加*和将要与*程序捆绑在一起的合法程序。根据刚才编辑的协议文件的内容添加合法程序。例如,你制作的协议和IE补丁包相关,那么你就可将*和一个正常的IE补丁包添加进来。
  随后进入安装程序选择窗口,指定解压缩包开始运行的文件(Install Program)和安装结束后运行的程序(post install command)。例如,在Install Program内设置正常的IE补丁包先运行,此时*并未运行,在中招者看来的确是一个IE补丁包。在post install command内设置*程序,这样在IE补丁包安装完毕时,*程序将会在后台执行,我们的目的也就达到了。
  第五步
  接下来选择软件在安装过程中的显示模式(Show window)。由于我们的*是和合法程序捆绑在一起的,所以选择“默认”(Default)即可。接下来进行提示语句(Finished message)的显示设置,由于我们做的是*捆绑安装程序,当然应该选择“No message”。
  第六步
  上述设置完成后,接着设置自解压程序的保存位置和名称。在这里要选择“Hide File Extracting Progress Animation from User”,以便隐藏解压缩过程,有助于隐藏某些*程序启动时弹出的命令提示框。最后,设置在软件安装完成后是否重新启动(Configure reboot),可以根据实际需要来选择。如果你所用的*是“即插即用”的,那么就选择“No reboot”;如果所采用的*用于开启终端服务,那么可选择“Always reboot”,同时选择“重新启动前不提示用户”(Do not prompt user before reboot)。
  在保存刚才所做的设置后点击“下一步”按钮,即可开始制作*自解压程序。
  整个制作过程是在DOS下进行的,在完成度达到100%后会弹出提示窗口,点击“完成”,*程序与合法程序的捆绑工作就完成了(格式为EXE),直接双击即可运行。你再用杀毒软件查一查。怎么样?已经完全不会被查出来了吧。
  现在还等什么?赶快利用“*屠城”介绍过的网页*传播技术或*电子书技术发布你的*去吧。当然,你也可以把它作为IE的重要补丁发送给别人。
  不用第三方工具,无需过多的加壳伪装,让“Windows”来为我们服务,为我们捆绑*,岂不快哉。
  防范措施
  可以先检查可疑的程序包是否采用了IExpress技术(“原理”部分已介绍)。如果采用了IExpress技术,那么你就得留心了,此时可以进入命令提示符下使用“IExpress /c”命令来解压缩文件(不进行安装)以检查程序包中是否有*,同时还可加上参数“/t:path”指定解压路径。
  编后:
  普通用户应该提高警惕了,很多*制作者了解到用户对漏洞的恐惧,利用用户急着打最新补丁的心理借机入侵。在看似合法的补丁程序中,极有可能隐藏着*程序。所以,在此提醒大家,千万不要在操作系统和软件的非官方站点下载补丁程序包,因为这些程序包很有可能是被捆绑了恶意程序的虚假程序包。

际遇之神

奖励

版主上厕所忘带手纸,梅艳芳芬高价转让手纸,得5DB

一朵小草╮

ZxID:14136412

等级: 大将
下一步,云南
举报 只看该作者 沙发   发表于: 2012-09-25 0
谢谢分享。。
   姜馨瑜、

ZxID:19614929

等级: 大尉
                        轻轻的我走了
举报 只看该作者 板凳   发表于: 2012-09-25 0




猴岛有你更精彩。
« 返回列表
发帖 回复
闂傚倸鍊搁崐鎼佸磹閹间礁纾归柟闂寸绾惧綊鏌熼梻瀵割槮缁炬儳缍婇弻鐔兼⒒鐎靛壊妲紒鐐劤缂嶅﹪寮婚悢鍏尖拻閻庨潧澹婂Σ顔剧磼閻愵剙鍔ょ紓宥咃躬瀵鏁愭径濠勵吅闂佹寧绻傞幉娑㈠箻缂佹ḿ鍘辨繝鐢靛Т閸婂綊宕戦妷鈺傜厸閻忕偠顕ф慨鍌溾偓娈垮枟閹告娊骞冨▎寰濆湱鈧綆浜欐竟鏇㈡⒑閸涘﹦缂氶柛搴ゆ珪缁嬪顓兼径瀣幐閻庡箍鍎辨鎼佺嵁濡ゅ懏鐓熼柟鎯х摠缁€鍐煏閸パ冾伃妤犵偛娲畷婊勬媴閼介攱鍨圭槐鎾存媴閹绘帊澹曢梻渚€鈧偛鑻晶鎵磼鏉堛劌娴柟顔界懇椤㈡鍩€椤掑嫬绀夐柕鍫濇缁犲墽鐥銏╂缂佲檧鍋撻柣搴㈩問閸犳牠鈥﹂悜钘夌畺闁靛繈鍊栭崑鍌炲箹鏉堝墽鎮奸柡鍡曞嵆濮婄粯鎷呴搹鐟扮濡炪們鍔岄幊姗€骞冭楗即宕楅悙顒傛创鐎规洜鍠栭、姗€鎮╃喊澶屽簥闂傚倷娴囬鏍垂鎼淬劌绀冮柨婵嗘閻﹁京绱撻崒姘偓椋庢閿熺姴闂い鏇楀亾鐎规洖缍婇獮搴ㄦ寠婢跺矈鍞归梻渚€娼х换鎺撴叏椤撶倣锝夊醇閵夛妇鍘棅顐㈡处濞叉牕鏆╂俊鐐€栭幐鎼佸箹椤愶箑鐓橀柟杈鹃檮閸婄兘鏌涘▎蹇f▓婵☆偆鍋熺槐鎾存媴閾忕懓绗¢柣銏╁灡椤ㄥ牏鍒掔€n喖绠抽柟鎯х埣濡绢噣姊洪崨濠勨槈閼瑰矂鏌熼柨瀣仢婵﹥妞藉畷銊︾節閸曨厾鏆ら梺璇插閸戝綊宕滈悢绗衡偓渚€寮崼婢劑鏌嶉崫鍕偓濠氬储闁秵鐓欓柤鍦瑜把呯磼閺屻儳鐣虹€殿喗濞婇、妤佺瑹閸ヮ煈鍟嶉梻浣虹帛閸旀牞銇愰崘顔兼辈婵炲棙鍔戞禍婊勩亜閹板墎鎮奸柣顓熷浮閺屾盯鍩為幆褌澹曞┑锛勫亼閸婃牜鏁幒鏂哄亾濮樼厧澧扮紒顔碱煼瀵粙濡歌椤旀洟姊虹化鏇炲⒉閽冮亶鎮樿箛锝呭箻缂佽鲸甯¢幃顏勨枎韫囨柨顦╅梺缁樻尰濞叉﹢濡甸崟顖f晣闁绘棃顥撴禒鎾⒑閸濆嫷鍎嶉柛濠冾殜楠炲骞栨担鐟颁罕闂佸壊鍋呯换鍕閹绢喗鈷戦悗鍦濞兼劙鏌涢妸銉﹀仴妤犵偛鍟埢搴ㄥ箻閺夋垶顓绘俊鐐€栫敮濠囨倿閿曞倸绐楅柡宥庡亞绾句粙鏌涚仦鍓ф噮閻犳劒鍗抽弻娑㈡偐瀹曞洤鈷堢紓渚囧枟濡啫鐣锋總绋垮嵆闁绘劖顔栧Σ鎾⒒娴e憡璐¢柛搴涘€濋妴鍐川椤栨粈绗夋繝鐢靛У绾板秹宕戦敐澶嬬厱闁靛鍠曠花濠氭煢閸曨偁鍋㈤柡宀€鍠栭幊鐐哄Ψ閿旂虎妲梻浣哥枃椤宕归崸妤€绠栨繛鍡樻尭缁狙囨煙鐎电ǹ小闁瑰鍏樺缁樻媴閾忓箍鈧﹪鏌¢崨顔俱€掗柍褜鍓氱喊宥咁熆濮椻偓椤㈡岸鏁愭径妯绘櫇闂佹寧娲嶉崑鎾剁磼閳ь剟宕橀埞澶哥盎闂佸搫鍟崐鐟扳枍閺囥垺鐓曟繛鍡楃箲椤ユ粓鏌嶇憴鍕伌闁诡喒鏅濈槐鎺懳熸繝姘殬濠电姷顣藉Σ鍛村磻閸涘瓨鍋¢柍鍝勫閿涘倿姊绘担铏瑰笡瀹€锝呮健瀹曟垿濡搁敂缁㈡锤濠电姴锕ら悧濠囨偂閵夆晜鐓涢柛灞剧☉椤曟粓鏌熼姘卞ⅵ闁哄本鐩顕€骞樼紒姗嗏偓宥夋⒑闁稓鈹掗柛鏂跨Ф閹广垹鈹戠€n亞顦ㄩ梺宕囨嚀閵囨﹢鎼规惔銊︾厽閹兼番鍊ゅḿ鎰箾閹绘帞绠荤€规洘绻傞濂稿炊閵娿儱绨ユ繝鐢靛█濞佳囶敄閸涱垳鐭嗛柛鎰靛枟閻撶喖鏌熸导瀛樻锭濠⒀呯帛娣囧﹪顢曢敐鍥╃杽濠殿喖锕ら…宄扮暦閹烘垟鏋庨柟鐑樺灥鐢垶姊绘担渚敯婵炲懏娲熼獮鎴﹀炊瑜忛弳锕傛煟閵忊懚褰掑礃閳ь剙顪冮妶鍡樺暗闁稿鍠栭、娆撳幢濞戞瑢鎷洪柣鐘充航閸斿苯鈻嶉幇鐗堢厵闁告垯鍊栫€氾拷